SentinelOne: Cybersicherheitsanbieter werden zunehmend zu "hochwertigen Zielen" für Angriffe
Laut SentinelOne ist das Unternehmen im vergangenen Jahr mehrmals von Cyberkriminellen angegriffen worden, die in Verbindung zu China stehen sollen. Der Sicherheitsanbieter habe die Angriffe abwehren können, warnt aber vor einem Muster, das bislang wenig Beachtung findet.
Forscher von SentinelOne gaben am Montag bekannt, dass das Unternehmen im vergangenen Jahr mehrere versuchte Cyberangriffe mit Verbindungen zu China abgewehrt habe, die sich gegen den Cybersicherheitsanbieter richteten. Zu den Bedrohungen gehörten sowohl Angriffe, die direkt auf SentinelOne abzielten, als auch ein kürzlich erfolgter Angriff auf ein IT-Dienstleistungs- und Logistikunternehmen, das zu diesem Zeitpunkt die Hardware-Logistik für die Mitarbeiter von SentinelOne übernommen hatte.
"Durch die Offenlegung von Details zu den Bedrohungsaktivitäten, denen wir ausgesetzt waren, rücken wir einen Aspekt der Bedrohungslandschaft in den Fokus, der in der öffentlichen Diskussion über Cyber-Bedrohungen bisher nur wenig Beachtung gefunden hat: die gezielte Ausrichtung auf Anbieter von Cybersicherheitslösungen", schrieben die Forscher von SentinelOne in einem Beitrag am Montag. Die Angriffe werden laut den Forschern Aleksandar Milenkoski und Tom Hegel "mit hoher Sicherheit Akteuren mit Verbindungen zu China" zugeschrieben.
Das Team von SentinelLABS bei SentinelOne hatte im Oktober 2024 eine Reihe von Aufklärungsaktivitäten beobachtet, die sich gegen SentinelOne richteten und den Namen "PurpleHaze" erhielten. SentinelLABS konnte die Operation erfolgreich abwehren, so die Forscher.
Anfang 2025 vereitelte das Team außerdem einen Angriff auf den Hardware-Logistikdienstleister, der mit einer als "ShadowPad" bezeichneten Operation in Verbindung stand. "Eine gründliche Untersuchung der Infrastruktur, Software und Hardware von SentinelOne bestätigte, dass die Angreifer erfolglos waren und SentinelOne durch keine dieser Aktivitäten kompromittiert wurde", schrieben Milenkoski und Hegel in ihrem Beitrag.
Insgesamt umfassten die Angriffe "mehrere teilweise miteinander verbundene Eindringungsversuche in verschiedene Ziele zwischen Juli 2024 und März 2025", schrieben die Forscher. Zu den Zielen der Aktivitätscluster gehörte zwar eine nicht näher bezeichnete südasiatische Regierung, doch laut dem Beitrag von SentinelLABS ist die Ausrichtung auf einen Cybersicherheitsanbieter bemerkenswert.
Das Ziel des Teams ist es, "Einblicke in die selten diskutierte Ausrichtung auf Cybersicherheitsanbieter zu geben" und gleichzeitig "dazu beizutragen, die Stigmatisierung" der Weitergabe von Indikatoren für Kompromittierungen im Zusammenhang mit den Kampagnen zu verringern, so die Forscher.
Letztendlich sind "Cybersicherheitsunternehmen aufgrund ihrer Schutzfunktion, ihrer tiefen Einblicke in die Kundenumgebungen und ihrer Fähigkeit, die Operationen von Angreifern zu stören, für Bedrohungsakteure hochinteressante Ziele", schrieben die Forscher von SentinelOne. "Die in diesem Beitrag detailliert beschriebenen Ergebnisse unterstreichen das anhaltende Interesse von Akteuren mit Verbindungen zu China an diesen Organisationen."
Der Artikel erschien zuerst bei unserer Schwesterpublikation crn.com.
CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden